摘要:
一、漏洞概述 Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。Spark是UC Berkeley AMP lab (加州大学伯克利分校的AMP实验室)所开源的类Hadoop MapReduce的通用并行框架,Spark,拥有Hadoop MapReduce所具有的优点;但不 阅读全文
摘要:
一、漏洞概述 WSO2文件上传漏洞(CVE-2022-29464)是Orange Tsai发现的WSO2上的严重漏洞。该漏洞是一种未经身份验证的无限制任意文件上传,允许未经身份验证的攻击者通过上传恶意JSP文件在WSO2服务器上获得RCE。 二、影响版本 WSO2 API Manager 2.2.0 阅读全文
摘要:
一、漏洞概述 Docker 逃逸指在 Docker 容器内部可以操作该容器的外部资源,一般理解为操作宿主机的行为。 Containerd 是一个工业级标准的容器运行组建,它强调简单性、健壮性和可移植性。Containerd 可以在宿主机中管理完整的容器生命周期:容器镜像的传输和存储、容器的执行和管理 阅读全文
摘要:
一、DevSecOps和IAST 这里先引出两篇好文,详细描述了DevSecOps和IAST的原理以及工作过程,在这里我就不赘述了,有兴趣的话直接点击下面链接就好~ DevSecOps IAST 二、洞态IAST 洞态IAST 是全球首个开源 IAST 产品,于2021年9月1日正式开源发布。目前可 阅读全文
摘要:
一、漏洞概述 6月29日,Apache 官方披露 Apache Shiro 权限绕过漏洞(CVE-2022-32532),当 Apache Shiro 中使用 RegexRequestMatcher 进行权限配置,且正则表达式中携带“.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证。 二 阅读全文
摘要:
一、漏洞概述 Apache Tomcat发布通告称修复了一个源于持久化Session的远程代码执行漏洞(CVE-2020-9484)。漏洞条件比较苛刻: tomcat必须启用session持久化功能FileStore tomcat/lib或者WEB-INF/lib目录下的依赖存在可用的gadget 阅读全文
摘要:
1 import requests 2 import argparse 3 import json 4 5 headers = {"Content-Type": "application/json", 6 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Wi 阅读全文
摘要:
先记录下好文留作收藏,待时间空闲了在进行整理~ https://mp.weixin.qq.com/s/it2AuKJ3R_1h8Z3bq6d9ow 阅读全文
摘要:
把.py和.exe放到github里了,有兴趣的可以去拉一下~ 项目在这里——https://github.com/wave-to/Funny_things/tree/main 阅读全文
摘要:
1 import requests 2 import re 3 import argparse 4 import base64,urllib.parse 5 import json 6 7 def decode(para): 8 para = urllib.parse.unquote(para,en 阅读全文